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INTRODUCCIÓN 


La dependencia de las tecnologías de la infornnación y las comunicaciones interconectadas 
globalmente ha puesto en el centro de la discusión la necesidad de trabajar en políticas 
y/o estrategias nacionales de seguridad digital. Esta necesidad es alimentada por el 
aumento de incidentes y ataques digitales con potenciales consecuencias catastróficas 
para la protección de la seguridad de la información, por tanto, de las personas. De 
acuerdo a información de la Unión Internacional de Telecomunicaciones (UIT), tan solo 
76 de sus 193 Estados miembros cuentan con algún tipo de política, estrategia o norma 
nacional de seguridad digital.^ De estos, solo 6 de 33 países pertenecientes a la región de 
Latinoamérica y el Caribe cuenta con una política o estrategia al respecto. 

Siendo la seguridad digital una discusión cada vez más crítica, hay que reconocer que la 
sociedad civil y los grupos de interés público no han sido suficientemente considerados, 
algo que desequilibra el debate y lo ubica en un tema enfocado en los sistemas o vagos 
conceptos de seguridad nacional, en lugar de las personas. 

Sin embargo, la seguridad digital está intrínsecamente relacionada con las personas, 
pues la forma en cómo se definen e implementan las políticas de regulación del 
comportamiento en línea y la seguridad de la información tienen profundas implicaciones 
para los derechos humanos, en especial la privacidad, la libertad de expresión o la libre 
asociación. 

Cómo se entiende la seguridad digital es una pregunta central para la elaboración de 
políticas, pero difícil de responder, pues existen numerosas definiciones. A eso se suma la 
dificultad de encontrar una definición que incluya compromisos claros por el respeto a los 
derechos humanos.^ Esto se complejiza aún más cuando se introducen otros conceptos 
que agregan más confusión como cibercrimen, ciberguerra y ciberdefensa. 

1 ITU. (2017). National Strategies. Disponible en htTp/.' w- injii ^rTi’ IT‘J-l _ . 
ationa tr 

2 New America Foundation, (s.f). Global Cyber Definitions Dotábase. Disponible en 

hT iryócvberdefinitions. amei n l 
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Sin ennbargo, conno se ha planteado en nnúltiples foros, “la seguridad digital y los derechos 
hunnanos son connplennentarios, se refuerzan nnutuannente y son interdependientes”^ 
Por lo tanto, es innperativo reconocer que el núcleo de la seguridad digital debe estar 
en la protección de las personas y, consecuentennente, de los derechos hunnanos. En tal 
sentido, la definición que guía este infornne es la desarrollada por el grupo de trabajo 1 
“Una Internet libre y segura”^ de la Freedom Online CooHtion, pues entendennos es la nnás 
respetuosa con los derechos hunnanos; 

La ciberseguridad es la preservación, a través de políticas, tecnología y 
educación, de la disponibilidad, confidencialidad e integridad de la infornnación 
y su infraestructura subyacente a fin de nnejorar la seguridad de las personas 
tanto Online conno offIineF 

Esta definición reconoce la innportancia de respetar los derechos hunnanos tanto en 
línea conno fuera de línea. Adennás, considera el papel de la innovación tecnológica conno 
nnotor para pronnover la libre circulación de infornnación en nnedios digitales. De esta 
fornna, refuerza esa relación entre seguridad digital y derechos hunnanos para pronnover 
la libertad y la seguridad. 

Con el áninno de aportar a los esfuerzos de la Organización de Estados Annericanos 
(OEA) de aconnpañanniento a los Estados de la región en la elaboración de políticas o 
estrategias nacionales de seguridad digital, un grupo de organizaciones de la sociedad 
civil presentannos en 2016 una declaración de principios sobre el tenna. El objetivo fue 
ofrecer unas guías nníninnas a tener en cuenta en estos procesos de construcción de 
políticas o estrategias. En su prinner principio y para ennnarcar la discusión, el texto de la 
Declaración propone: 

Alinear cualquier estrategia de seguridad digital con los nnarcos legales de 
derechos hunnanos de cada país, del sistenna interannericano y de estándares 
internacionales conno los descritos en los Principios Internacionales sobre la 
Aplicación de los Derechos Hunnanos a la Vigilancia de las Connunicaciones, 
dando especial relevancia a la protección y garantía al ejercicio de los derechos a 
la libertad de expresión, a la privacidad y a la libre asociación [...]® 

3 FOC-WGl (s.f.).An Internet Free and Secute; A Human Rights Appraach ta Cybersecurity Pali- 
cy-making. Disponible en htlD:. Treedomonlinecoalin i . f n i - i f-í-i'n LeU: ZM- L-r/FQC- 

-Narrati ,I ADnl ■ r 

4 Freedom Online Coalition. (s.f). WG 1 -An Internet Free and Secute. Disponible en 

■ ■ V:a:: : 'eedooniifaecoalition . of/workiíaci <af'ou: 1<1 f jG. cii'^c njp 1/ 

5 FOG-WGl. ( 2014 ). Recammendatians far Human Rights Based Appraaches ta Cybersecurity 

Disponible en hinam trae darri'ar lir vC-jah'i, 11 :: i r- , iii-cof a-i m i’i d i G a‘^Gd'C-Gv^GI-Reconv 
rnendatiOía" ni d1 i i. 't 

6 Declaración sabré Seguridad Digital en América Latina. ( 2016,1 de abril). Disponible en 

• ■ airisma.- 'i ri , :_.d_,:" i , i I Li iir ¡i f i u a L ^ ina/. 
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Estamos convencidos que tal enfoque es fundamental para recordar a las entidades 
estatales responsables de formulación de políticas públicas que la seguridad digital 
debe tener en cuenta la seguridad de las personas y los derechos humanos. Por ello, 
en este informe profundizamos en los principios con explicaciones más amplias y 
recomendaciones de acciones concretas de pasos a seguir para guiar el desarrollo de 
políticas o estrategias nacionales de seguridad digital hacia el respeto y la protección de 
los derechos humanos. A su vez, intentamos ofrecer una visión que ayude a enfrentar 
los desafíos que los cambios tecnológicos plantean para los Estados y su desarrollo 
socioeconómico. 


DECLARACIÓN CONJUNTA DE 
SEGURIDAD DIGITAL 


Principio 1. Abordar la seguridad digital desde los derechos humanos 

Alinear cualquier estrategia de seguridad digital con los marcos legales de derechos 
humanos de cada país, del sistema interamericano y de estándares internacionales 
como los descritos en los Principios Internacionaies sobre ia Apiicación de los Derechos 
Humanos o la Vigilancia de las Camunicaciones, dando especial relevancia a la protección 
y garantía al ejercicio de los derechos a la libertad de expresión, a la privacidad y a la 
libre asociación. Esto incluye mejorar los marcos legales nacionales para garantizar que 
la vigilancia de las comunicaciones se lleva a cabo de conformidad con las normas de 
derechos humanos, especialmente con base en los mencionados principios de necesidad 
y proporcionalidad, y que se adopten y apliquen políticas públicas de protección de datos, 
particularmente en sus iniciativas y proyectos para compartir información entre países. 
En ese sentido, es recomendable que el programa de ciberseguridad de la OEA consulte 
y colabore con otras dependencias de la organización para que sus recomendaciones 
estén alineadas con los estándares en materia de libertad de expresión y derecho a la 
intimidad elaborados por la Comisión y la Corte Interamericana de Derechos Humanos y 
la Relatoría Especial para la Libertad de Expresión de la CIDH. 

Principio 2. Sustituir el concepto de ciberseguridad por seguridad digital 

Sustituir el concepto de ciberseguridad por el de seguridad digital, que trasciende 
el ámbito militar y que debe estar centrado conceptualmente en la protección de la 
ciudadanía, la persona y sus comunidades. La seguridad digital también debe servir para 
promover el desarrollo económico y social sobre la base de los principios del Estado de 
derecho y la protección de los derechos fundamentales. 
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Principio 3. Favorecer prácticas de transparencia y rendición de cuentas 

Adoptar instrumentos y mecanismos de transparencia y rendición de cuentas, incluido 
los planes de Gobierno Abierto, sobre la implementación y desarrollo de las estrategias de 
seguridad digital en cada país que sean medidles y verificadles. 

Principio 4. Promover y respetar el uso del cifrado 

Reconocer la importancia del cifrado seguro como un elemento de la seguridad digital 
necesario para la protección de las comunicaciones y de los datos. En consecuencia, es 
recomendable que los Estados promuevan y respeten su amplio uso y desarrollo por 
parte de la ciudadanía, las empresas y los gobiernos. 

Principio 5. Usar análisis de privacidad por diseño y de impacto en derechos humanos 

Usar metodologías de análisis de riesgo como la “privacidad por diseño” y de análisis de 
impacto sobre los derechos humanos, para fundamentar la formulación e implementación 
de políticas públicas de seguridad digital basadas en la evidencia. 

Principio 6. Desarrollar CSIRT independientes de las fuerzas del orden público 

Reconocer que las organizaciones de la sociedad civil tienen debilidadesy vulnerabilidades 
propias que no están siendo atendidas por las actuales estructuras de respuesta a 
ciberataques (CSIRT). Por tanto, es recomendable desarrollar CSIRT que protejan a la 
sociedad civil y que no dependan de las fuerzas del orden público, además de que tengan 
la capacidad para producir datos y respuestas para todos los estamentos de la sociedad 
en un marco de respeto por los derechos humanos. 

Principio 7. Apoyar buenas prácticas de seguridad digital en los sistemas informáticos 

Promover e impulsar mejores sistemas informáticos, resilientes y actualizados, que 
permitan potenciar la seguridad digital. En este sentido, es recomendable que estos 
sistemas sean auditados de forma pública y constante, permitiendo que su código fuente 
esté disponible sin trabas legales. 
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Principio 8. Impulsar la participación multisectorial 

Incrementar la colaboración y el intercambio de experiencias entre los países incluyendo 
a todos los sectores de la población, en un esfuerzo abierto y multisectorial -gobierno, 
sector privado, comunidad técnica, academia y sociedad civil- que permita identificar las 
necesidades y opiniones de todos los sectores. 

Principio 9. Recoger e implementar experiencias compartidas y buenas prácticas 

Recoger e implementar experiencias y buenas prácticas de otras regiones en temas de 
seguridad digital -como las desarrolladas por la OCDE-y adaptarlas a las necesidades 
locales. 

Principio 10. Adoptar estándares abierto de tecnología 

Alentar a los gobiernos a adoptar políticas de seguridad digital públicas que incluyan 
su compromiso sobre el uso de productos que cumplan con estándares reconocidos de 
seguridad digital. 


APORTES PARA UNA MEJOR 
COMPRENSIÓN DE LOS PRINCIPIOS 


Principio 1. Abordar la seguridad digital desde los derechos humanos 


Este principio atiende la necesidad de abordar la seguridad digital desde el enfoque de 
derechos humanos. Reconoce que el ciberespacio es importante para el ejercicio a la 
libertad expresión, la libre asociación, la privacidad, entro otros derechos. Además, recoge 
lo que el Consejo de Derechos Humanos de la Organización de las Naciones Unidas ha 
reiterado en 2012, 2014 y 2016: los derechos que las personas tienen fuera de internet 
también deben ser protegidos en línea.’Y en ese reconocimiento, los derechos humanos 
son el instrumento normativo que permite garantizar y llevar a cabo evaluaciones de los 
progresos en la seguridad de las personas a través de diferentes acciones estatales como 
lo son la formulación e implementación de políticas o estrategias nacionales de seguridad 
digital. 

En ese proceso de formulación e implementación sirven de guía los instrumentos 
nacionales, regionales e internacionales de derechos humanos. Ahí se establecen las 
obligaciones de los Estados de proteger, por ejemplo, la libertad de expresión y el acceso 
a la información; el derecho de toda persona “a la vida, a la libertad y a la seguridad de 
la persona"; o la privacidad incluso de las comunicaciones digitales.® Esta normativa es 
la que debe ayudar a informar a los gobiernos a la hora de tomar decisiones sobre el 
ciberespacio que afecten o tengan impacto en los derechos de las personas. 


7 Véanse las resoluciones no. 20/8 del 5 de julio de 2012, no. 26/13 del 26 de junio de 2014y no. 32/13 
de 27 de junio de 2016 del Consejo de Derechos Humanos de la ONU. 

8 Véanse, por ejemplo, los artículo 3 y 19 de la Declaración Universal de Derechos Humanos] los 
artículo 4,7 y 13 de la Convención Americana de Derechas Humanos] o la Resolución No. 68/167 
de 21 de enero de 2014 de la Asamble General de la ONU sobre el derecho a la privacidad en la era 
digital. 
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El ciberespacio es, sin lugar a duda, un cannpo de tensión, en donde ocurren una 
nnultiplicidad de acciones por parte de gobiernos, ennpresas y/o individuos que atentan 
contra los derechos hunnanos; censura; control y nnanipulación de contenidos; retiro de 
contenidos en línea sin un debido proceso; filtraciones de datos personales; prácticas 
de los operadores y proveedores de servicios para linnitar la calidad del acceso a fin de 
dar preferencia a ciertas aplicaciones y contenidos; aplicación radical de la legislación de 
propiedad intelectual, espionaje, cibercrinnen, etc. Esto confirnna la necesidad de abordar 
el tenna de la seguridad digital desde un enfoque de derechos hunnanos. 

No obstante, en la región de las Annéricas se observa una tendencia creciente a 
innplennentar prácticas violatorias de los derechos hunnanos en internet, en especial 
cuando de espionaje se trata. Por ejennplo, se sabe que varios países latinoannericanos 
connpraronointentaronconnprar software de vigilancia que tiene la capacidad de registrar 
llannadas web, correo electrónico, nnensajería instantánea, historial de navegación, etc.; 
adennás de que puede tonnar control de los nnicrófonos, cánnaras, archivos y fotos en los 
aparatos.^ Tannbién se tienen pruebas, obtenidas nnediante investigaciones científicas 
y tecnología forense, de que el Estado nnexicano ha utilizado software nnalicioso de 
vigilancia contra funcionarios públicos, periodistas, opositores y activistas.^® Y esto para 
nonnbrar algunos pocos ejennplos que dan cuenta del uso indebido e indiscrinninado del 
espionaje estatal y de la adquisición de tecnología de vigilancia de las connunicaciones 
sin garantías de protección robustas y sin una adecuada innplennentación del debido 
proceso. 


Este principio alienta a los países de la región a nnejorar sus nnarcos legales sobre 
actividades de vigilancia. Los Principios Internocionoles sobre lo Aplicación de los 
Derechos Humanos a lo Vigiloncio de las Comunicaciones (en adelante. Principios 
necesarios y proporcionales) y su guía de innplennentación pueden orientar la discusión a 
nivel nacional.^^ Los Principios necesariosyproporcionales son e\ resultado de una consulta 


9 Pérez Acha, G. (2016, 20 de abril). Hacking Team; El auge del sañware de vigilancia en América 
Latina [blog post]. Disponible en 

https:AA/ ■. III T fo ' _ I ' i i 11 1 si r n 

10 Véase Artículo 19, Social TIC & R3D. (2017). Cablerna Espía: Vigilancia sistemática a perladistasy 
defensares de derechas humanas en Méxica. Disponible en https://r3d.mx/gobiernoespia : Ahmed, 
A. & Periroth, N. (2017,19 de junio). Somos los nuevos enemigos del Estado’: el espionaje a activistas 
y periodistas en México. The New Yark Time. Disponible en 

https:/A/v I ivtimes.com/0s/2Q17/O6/19/mexico- )ega5u s n so group espr r _i 

11 Véase Necesarias & Praparclanadas. Principias Internaclanales sabré la Aplicación de las 
Derechas Elumanas a la Vigilancia de las Camunicaclanes de 10 de julio de 2014. Disponible 

en httpsi/'nec^a n ai r mi i r- i i - , i - -,jrioag:'i an'ai irariados, y Access Now. (2015). 
Universal Implementatlan Cuide far the Internatlanal Principies an the Appllcatlan af Eluman 
PIghts ta Cammunicatlans Survelllance. Disponible en hrr^ [__ ' ri i_[_ 

f¡l:-:vgg]' /G-f ^ i* , I rnentationmiuide InternationaL, t i i lí'^lac 
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global con grupos de la sociedad civil, la industria y personas expertas en derecho, política 
y tecnología de vigilancia de las connunicaciones, en donde se conceptualiza el derecho 
vigente en nnateria de derechos hunnanos frente a las tecnologías y técnicas nnodernas 
de vigilancia estatal. De este nnodo, “articulan los deberes y obligaciones de los Estados 
cuando participan en la vigilancia de las connunicaciones’V^ 

Por otro lado, vale la pena presentar de nnanera sucinta 10 salvaguardas para las facultades 
estatales de intervención en sistennas infornnáticos que desarrolló la organización británica 
Privocy Internotionol, y que tannbién pueden servir de guía para esta discusión:^^ 

1. Legalidad: las facultades de vigilancia deben estar autorizadas por una ley que 
establezca línnites claros y precisos, y que sea revisada periódicannente. 

2. Seguridad e integridad de los sistemas: las autoridades gubernannentales 
deben realizar una evaluación sobre los riesgos y daños a la seguridad e integridad 
de las connunicaciones antes de llevar a cabo una nnedida de interferencia a las 
connunicaciones digitales. Tannbién deben incluir esta evaluación en cualquier 
solicitud de apoyo a dicha nnedida. 

3. Necesidad y proporcionalidad: las autoridades gubernannentales deben 
establecer una serie de factores que pernnitan nnedir la probabilidad de ocurrencia 
de una annenaza contra un bien público protegido, infornnación sobre el nnétodo, 
alcance y duración de la nnedida propuesta, y una evaluación de la seguridad. 
En cuanto a esta salvaguarda, Privocy Internotionol destaca que cuando se 
recurre al objetivo legítinno de la seguridad nacional conno razón para intervenir 
connunicaciones digitales, los Principios Sirocuso de los Nociones Unidos sobre los 
Disposiciones de Limitoción y Excepción en el Poeto Internocionol de Derechos 
Civiles y Políticos pueden orientar el alcance; 

La seguridad nacional puede ser invocada para Justificar nnedidas que 
linniten ciertos derechos solo cuando se use para proteger la existencia de la 
nación, o su integridad territorial o independencia política contra la fuerza o la 
annenaza de fuerza [...] La seguridad nacional no puede invocarse conno razón 
para innponer linnitaciones a fin de prevenir annenazas nnerannente locales 
o relativannente aisladas a la ley y el orden[, o] conno pretexto para innponer 
linnitaciones vagas o arbitrarias (Traducción nuestra).^^ 


12 Ibíd. 

13 Privacy International. (2017,15 de diciembre). Government Hacking and Surveillance: 10 Neces- 

sarySafeguards. Disponible en hft L f )rivacyinternation i < . e/957#9 

14 Principio Sirocuso citado en Ibíd. 
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4. Autorización judicial: una autoridad imparcial e independiente debe decidir si 
aprueba o no la medidaysupervisarsu aplicación. Esto también incluye la posibilidad 
de consultar a personas con conocimientos técnicos de las tecnologías a utilizarse y 
expertas en privacidad y derecho, que ayuden a informar cómo se pueden afectar 
los sistemas a intervenir y los derechos de la persona sujeta a la vigilancia. 

5. Integridad de la información: como regla general, las autoridades gubernamen¬ 
tales no pueden añadir, alterar o borrar datos recolectados a través de la medida de 
intervención. Y si se usan los datos obtenidos, deben divulgar el método, alcance y 
duración de la medida, además del registro de las actividades empleadas. 

6. Notificación: las autoridades gubernamentales deben notificar a las personas 
sujetas de vigilancia la fecha y duración de la medida, si los datos se obtuvieron o 
no de conformidad con la medida; y si los datos irrelevantes a la investigación se 
adquirieron con arreglo a la medida, como también la fecha de su destrucción. 

7. Destrucción y devolución de datos: las autoridades gubernamentales deben 
establecer un procedimiento de destrucción de datos irrelevantes a la investigación, 
además de establecer un registro de este procedimiento. Esto también incluye el 
deber de los servicios de inteligencia de devolver los datos obtenidos a la persona 
destinataria y destruir cualquier copia de los datos al finalizar su uso. 

8. Supervisión y transparencia: las autoridades gubernamentales deben someter 
sus facultades y actividades a un organismo de supervisión que sea independiente 
de los servicios de inteligencia y del poder ejecutivo, y que tengan acceso irrestricto 
a todos los aspectos de la labor de los servicios de inteligencia. Además, deben 
publicar, como mínimo, información relacionada con las solicitudes de autorización 
de las medidas de vigilancia de las comunicaciones digitales. 

9. Extraterritorialidad: cuando se emplean medidas extraterritoriales de vigilancia, 
las autoridades gubernamentales deben cumplir sus obligaciones legales y 
abstenerse de utilizar estas medidas para eludir mecanismos legales (ej. tratados 
de asistencia legal mutua) de obtención de información fuera de su territorio. 

10. Remedios: las personas sujetas a las medidas de intervención estatal ilegal 
deben tener acceso a un recurso efectivo, sin importar su lugar de residencia. 
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Además de lo anterior, creemos importante que se creen iniciativas regionales o globales 
para la evaluación de impacto de las políticas o estrategias nacionales de seguridad digital 
en los derechos humanos, que se explica en mayor detalle en el Principio 5. Igualmente, 
recomendamos desarrollar buenas prácticas y aprendizajes de lo que ha funcionado o no 
en la implementación de dichos planes. Esto incluye apoyar el trabajo de investigación en 
materia de seguridad que puede realizar, por ejemplo, un grupo de personas interesadas 
en la identificación y divulgación responsable de posibles vulnerabilidades de seguridad 
y privacidad. Esta práctica es explicada en mayor profundidad en el Principio 7. 

Finalmente, le recomendamos al Comité Interamericano contra el Terrorismo (CICTE) de 
la OEA, que actualmente da asistencia a los países para fortalecer su capacidad técnica 
y de seguridad digital al nivel de políticas, le recomendamos que realice consultas y 
trabaje en conjunto con otras dependencias de la misma organización. Esto permitiría 
que sus recomendaciones estén alineadas con los estándares de libertad de expresión y 
privacidad elaborados por la Comisión y la Corte Interamericana de Derechos Humanos y 
la Relatoría Especial para la Libertad de Expresión (RELE) de la Comisión Interamericana 
de Derechos Humanos (CIDH). 


Principio 2. Sustituir el concepto de ciberseguridad por seguridad digital 


El concepto de seguridad en el ámbito cibernético o digital está en pleno desarrollo 
a nivel mundial y una definición específica ocultaría la discrepancia entre diferentes 
miradas, perspectivas e intereses. Esta disputa conceptual es la que ha permitido 
incorporar diversos temas a la discusión actual como, por ejemplo, los derechos 
humanos, la seguridad de las aplicaciones y servicios, la seguridad de las personas y 
de las infraestructuras a nivel nacional y de internet, etc. Todos estos temas permiten 
profundizar en el concepto en cuestión y trabajar sobre diferentes tipos y niveles de 
riesgos, enriqueciendo y fortaleciendo el abordaje 

En general, la definición de seguridad digital-ciberseguridad, como más comúnmente se 
le llama- utilizada por los Estados es la elaborada por la UIT.^® Sin embargo, cada Estado 
tiene intereses distintos ya sea sobre cómo se va a regular una actividad en internet, cuál 
debería ser su conceptualización y alcances, o qué actividades podrían constituir delitos. 
Ror eso resulta complejo llegar a un acuerdo sobre una definición y se deben considerar 

15 UIT. (2010). Resolution No. 181. Definitions and terminology relating to building confidence and 
security in the use of 'Information and communioatian technalagies. Disponible en 
https:,' iTij int/osa/csd/cybersecurity/WSIS/RESOLUTION 181.pdf . 
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múltiples factores. 

Ya en 2013, la RELE-CIDH anotó la evolución que ha tenido este concepto; 

El concepto de ciberseguridad suele emplearse como un término amplio para 
referirse a diversos temas desde la seguridad de la infraestructura nacional y de 
las redes a través de las cuales se provee el servicio de Internet, hasta la seguridad 
o integridad de los usuarios [sic]. No obstante, desarrollos posteriores sugieren la 
necesidad de limitar el concepto exclusivamente al resguardo de los sistemas y 
datos informáticos [...] este enfoque acotado permite una mejor comprensión del 
problema así como una adecuada identificación de las soluciones necesarias para 
proteger las redes interdependientes y la infraestructura de la información.^® 

Como mencionamos en la introducción, la valoración más cercana al enfoque integrador, 
que relaciona la seguridad digital con el respeto a losderechos humanos, es la desarrollada 
en 2014 por el grupo de trabajo 1 de la Freedom Online CooHtion: 

La ciberseguridad es la preservación - a través de políticas, tecnología y educa¬ 
ción - de la disponibilidad, confidencialidad e integridad de la información y su 
infraestructura subyacente, a fin de mejorar la seguridad de las personas tanto 
Online como offiine. 

Actualmente, las políticas o estrategias nacionales de seguridad digital tienen un 
“enfoque de daño”. En su planteamiento de problema y desarrollo, suelen citar incidentes 
cibernéticos, crímenes, negligencias y ataques delincuenciales como fuente de los 
problemas centrales de la seguridad, a la vez que proponen mitigarlos con programas de 
educación. Sin embargo, el núcleo esencial de los planes debería ser la confidencialidad, 
integridad y disponibilidad de la información como la clave del componente técnico en la 
definición de ciberseguridad, tal como plantea la Freedom Online CooHtion.''^ 

La falta de terminología clara que permita establecer alcances y limitaciones de 
las acciones del Estado podría tener derivaciones e implicaciones desafortunadas. 
Algunas de ellas pueden ser la superposición -e incluso contradicción- de criterios de 
implementación de las políticas de seguridad entre las diferentes reparticiones del Estado 
y de los gobiernos; la adopción de medidas discrecionales por parte del funcionariado 

16 CIDH. (2013, 31 de diciembre). Libertad de expresión e Internet. OEA/Ser.L/V/ll CIDH/RELE/ 
INF.11/13. Disponible en https://www.oas.orq/es/cidh/expresion/docs/informes/2014_04_08_lnternet_ 
WEB.pdf 

17 La confidencialidad, la integridad y la disponibilidad son principios que guían la Certificación 
ISO 27001 sobre sistema de gestión de la seguridad de la información. Disponible en 

ht.i í ww.aenor.es/AENOR/certificacion/s gi ' ' ' jridad_27001.asp . 
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sin ningún tipo de control o supervisión; el nnanteninniento de prácticas opacas y la 
falta de transparencia, etc. En definitiva, se puede generar un escenario propicio para la 
vulneración de los derechos hunnanos. 

Es necesaria una aproxinnación holística a las políticas de seguridad nacional donde el 
contexto se convierte en parte innportante para su definición. La nnisnna debe ser nnatizada 
y escalonada contennplando disposiciones, actoresy tipos de riesgo. Tannbién debe incluir 
el enfoque de derechos hunnanos, en particular con consideración a la privacidad y a la 
libertad de expresión, así conno un enfoque econónnico, siendo annbos centrales en la 
definición.^® 

Sustituir el concepto de ciberseguridod por seguridad digital sería una prinnera gran 
oportunidad para situar el discurso en aspectos relevantes del tenna. En un sentido 
sustantivo, la seguridad es un concepto positivo, pues se refiere a la capacidad de una 
persona a acceder a un recurso fundannental y utilizarlo de acuerdo a sus necesidades 
y preferencias. Desde la óptica de los derechos hunnanos, la seguridad se centra en la 
capacidad de las personas de actuar libre y responsablennente. La política de seguridad 
en internet no debería linnitarse a desennpeñar un papel defensivo sino facilitador. Así, 
se potenciaría el bienestar de las personas conno eje central. De esta fornna, se aseguran 
soluciones con nnenos annenazas a los derechos hunnanos, garantías fundannentales de 
los sistennas dennocráticos. 

A su vez, sería pertinente analizar la experiencia de Colonnbia, donde la Organización 
para la Cooperación y el Desarrollo Econónnicos (OCDE) sugirió la adopción del térnnino 
“seguridad digital” en lugar de “ciberseguridad” en el Plan Nacional de Seguridad Digital, 
que en su fase de diagnóstico tuvo el apoyo de la OEA.^® El proceso y el innpacto que 
tendrá esta decisión nnerece la atención de los actores involucrados en el desarrollo y 
nnonitoreo de políticas de seguridad digital. 


Principio 3. Favorecer prácticas de transparencia y rendición de cuentas 


Será indispensable tonnar nnedidas que puedan connprobar el alcance de las nnetas 
asunnidas en las políticas públicas sobre seguridad digital. Para ello, es necesario 
avanzar en la articulación de políticas, transparencia y nnonitoreo de la gestión sobre 
este tenna, lo que innplica verificar si se ha cunnplido con lo progrannado y luego evaluar 


18 Internet Society. (2015,12 de april). Collaborative Security; An approach to tackling Internet 

Security Issues. Disponible en https://v/y. i r i-i r sri ,[ 

19 Ministerio TIC. (2016,15 de abril). Colombia cuenta con una Política Nacional de Seguridad 
Digital. Disponible en http./A//; 
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los resultados obtenidos. Esta nnirada al pasado permite observar cuál ha sido el punto 
de partida -es decir, la línea de base-y cuáles han sido los avances logrados. De esa 
forma, también se fomenta la confianza en el ciberespacio y la economía digital. 

La articulación o coordinación de políticas públicas es un factor importante para el 
diálogo entre unidades gubernamentales que cogestionan la solución de problemas 
transectoriales en temas de seguridad digital. La rendición de cuentas es la herramienta 
más apropiada para visibilizar las acciones que se toman para estos temas, pues ayuda a 
prevenir y controlar cualquier abuso, además de que incrementa la seguridad digital de 
todas las personas. 

Al respecto, Carlos Santiso del Banco Interamericano de Desarrollo (BID) señala: 

La transparencia construye la ciudadanía. La región de América Latina y el Caribe 
es compromiso con un gobierno abierto y transparente, no sólo [sic] porque es una 
herramienta para prevenir y controlar corrupción, sino también porque fortalece 
la democracia y mejora la efectividad del Estado, especialmente en la prestación 
de servicios públicos. Transforma la cultura burocrática introduciendo contrapesos 
discrecionales. Mejora la eficiencia y disminuye las posibilidades de fraude y 
corrupción en gestión pública, reduciendo el número de pasos y transacciones y 
maximiza el uso de las nuevas tecnologías. La transparencia permite rendición de 
cuentas.^® 


Por otro lado, en la Declaración de Seúl sobre el futuro de la economía de internet, la 
OCDE aboga por los principios de transparencia y rendición de cuentas, reconociendo 
que contribuyen a una libre circulación de la información, a la libertad de expresión y a la 
protección de las libertades individuales.^^ 

Asimismo, para la OCDE, el principio de transparencia es uno de los 


pilares centrales de una reglamentación efectiva, el mantenimiento de la confianza 
en el entorno jurídico, fortaleciendo regulaciones seguras y accesibles, menos 
influenciadas por intereses especiales y, por tanto, más competitiva y abierta al 
comercio e inversión (Traducción nuestra).^^ 

20 Santiso, C. (2017, 26 de febrero). Cómo los datos ayudan a destapar la corrupción [blog post]. 
Gobernarte: ideas innovadoras para mejorar gobiernos. Disponible en 

litt ps:.//blQas,iadb OI • Im :i _ _o U 'G '2 . I o it‘Or .i udan-destapar-la coi i i.ipcio 

21 OCDE. (2013). The Internet Economy on the Rise: Progrese since the Seoul Declaration. 

Disponible en httPiidWww.oecd-ora/futureii bci laet/ 

22 Global Partnership for Effective Development Co-operation. (2016, 3 de noviembre). The 
Transparency Chapter of the CPEDC Monitoring report. Making Development Co-operation More 
Effective:2016 Progrese Report. Disponible en b rtps,'. . . ■''ac-1 ciia/dacAffectiveness/rnakína- 
deveí p U-co oio ci ai tica ■ li lOie effo o tive-978926426626T-eri.htm. 
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Por todo esto, los indicadores propuestos en las políticas o estrategias de seguridad 
digital deberán ser nnedibles y verificables. El cunnplinniento de las nnetas trazadas no 
debe ternninar en una nnera declaración de buenas intenciones, sino que sus resultados 
deben pronnover la confianza en el ciberespacio. La nnetodología utilizada en gobierno 
abierto puede ayudar a mejorar la aplicación de estos planes. 

Además, se debe dar lugar al aporte de la ciudadanía y la sociedad civil, que desarrollamos 
con más detalles en el Principio 8, en procesos de formulación de políticas públicas más 
saludables para una gestión estatal en seguridad digital. Su papel activo corresponde a 
la formulación conjunta de políticas, coproductor de bienes y servicios públicos, y como 
fiscalizador de los resultados de la acción gubernamental.^^ 

Por otro lado, los espacios de gobierno abierto deben incluir mesas de diálogo sobre 
seguridad digital.^^ En sus agendas de discusión en temas de tecnología, deberían tratarse 
asuntos como la protección de los derechos humanos a través del uso del cifrado como 
una estrategia efectiva contra la vigilancia masiva, entre otros. 

Gran parte de la economía de internet depende de recolectar datos complejos sobre 
potenciales clientes para venderles productos y servicios, una práctica conocida 
como “capitalismo de la vigilancia'7^ Por lo tanto, es clave que los planes de gobierno 
abierto no solo aboguen por la apertura de datos, sino también por la protección de los 
mismos para evitar riesgos y abusos por parte del sistema actual. Así, se contribuye a 
que se implementen estándares mínimos de protección de los derechos humanos en el 
desarrollo de economía basada en datos.^® 

En este sentido, el informe del grupo de trabajo de big doto y datos abiertos, establecido 
por el Relator Especial de la ONU sobre el derecho a la privacidad, destaca que 

Cualquier iniciativa de gobierno abierto que implique información personal, ya 
sea anonimizada o no, requiere un análisis riguroso, público y científico de las 

23 Oszlak, O. (2013). Gobierno abierto: hacia un nuevo paradigma de gestión pública. 

Disponible en hiirt:: _i :. n 3 n _' r - lD ~ ^ I-_i j -T. 

24 Véase el sitio web del Open Government Partnership en i ' z. ;;;/.Qpengovpartnership.org . 

25 Zuboff, S. (2015,17 de abril). Big Other: Surveillance Capitalism and the Prospecta otan Infor- 
nnation CWiWzation. Journal of Information Technology, 30, pp. 75-89. DPI: https://doi.org/10.1057/ 
Jit.2015.5. 

26 Las corporaciones y los gobiernos no necesariamente tienen que ser forzados a proporcionar 

protecciones de privacidad. Véase, por ejemplo, enfoques éticos adoptados por las empresas en 
Information Commissioner’s Office. (2017). Big data, artificial intelligence, machine learning and 
data protection. Disponible en https://ico.ora.ui ^ m, i í i i i i, í _ , t iZ: - 7 LL_ r,, 

^j! i and-data-proto ctio n pdf . 
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protecciones de la privacidad de los datos, incluida una evaluación del innpacto 
sobre la privacidad (Traducción nuestrajT"^ 

Todas estas propuestas ayudan a pronnover una nnayor transparencia Ínter e intra 
gubernannental, adennás de fonnentar la confianza en internet y garantizar el éxito 
continuado de la nnisnna conno nnotor de innovación socioeconónnica. En este ánnbito 
de cooperación, se deberán garantizar la transparencia, la rendición de cuentas y la 
articulación de políticas en lo que respecta a las prácticas en el entorno digital, así conno 
al cunnplinniento de los connpronnisos asunnidos por los Estados en los planes de acción 
de gobierno abierto. Las estadísticas sobre las vulnerabilidades infornnáticas deberán 
ser accesibles y reutilizables por todas las personas, pues serán clave para abordar la 
política de seguridad digital de fornna conjunta, según explícennos en nnayor detalle en 
el Principio 6. 


Principio 4. Promover y respetar el uso del cifrado 


La seguridad y privacidad son caras de una nnisnna nnoneda. Se refuerzan nnutuannente y 
generan entornos saludables para la confianza de las personas en la red, contribuyen al 
florecinniento de una variedad de servicios en internet. La adopción de buenas prácticas 
en seguridad y privacidad deberían incluirse en las políticas o estrategias nacionales de 
seguridad digital, así conno establecer salvaguardas nacionales para la pronnoción de 
herrannientas de cifrado y otros sistennas de protección para las personas. 


En este sentido, vale la pena entender que el cifrado, proceso por el que se codifican 
los datos utilizando algoritnnos nnatennáticos, ayuda a proteger la infornnación de 
una connunicación o en cualquier dispositivo en la que se encuentre. En el caso de 
las connunicaciones en internet, se reconnienda la criptografía de clave pública.^^ Las 


27 Véase Surveillance, big data and agen data tap UN expert's privacy agenda. (2017, 20 de 
octubre). Disponible en http://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx2Newsl- 
D=22271&LanglD=E 

28 La criptografía se ocupa de las técnicas de cifrado o codificado destinadas a alterar las re¬ 
presentaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores 
no autorizados, con el objetivo de conseguir la confidencialidad de los mensajes. La criptografía 
asimétrica, también llamada criptografía de clave pública, utiliza un par de claves para el envío de 
mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave 
es pública y se puede entregar a cualquier persona, la otra clave es privada y quien sea propietaria 
debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garan¬ 
tizan que esa pareja de claves solo se puede generar una vez, de modo que se puede asumir que 
no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. Criptogra¬ 
fía asimétrica, (s.f). Wikipedia. Disponible en https://es.wikipedia.org/wiki/CriptQgrafia_asi métrica 
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herramientas criptográficas de código abierto^^ son una condición necesaria para 
garantizar las comunicaciones seguras en la actualidad, ya que habilitan la auditoría y 
reducen potencialmente la introducción de funcionalidad maliciosa. 

Por otro lado, el cifrado se utiliza para construir mayor seguridad para las transacciones 
financieras, el comercio electrónico, las comunicaciones militares, entre otros usos, y no 
debería estar limitado solamente a ciertos grupos, sino que debe abarcar a todos los 
sectores sociales.El cifrado aporta confianza en las comunicaciones porque permite 
asegurar la identidad de los dispositivos implicados, a la vez que garantiza la integridad 
de los datos, evitando su manipulación. Una navegación o comunicación que no esté 
cifrada no está simplemente “poco cifrada”; en realidad, se encuentra abierta a todo 
tipo de posibles abusos.Además, es simple y fácil implementar el cifrado, al punto de 
que hoy en día vivimos cifrando información sin darnos cuenta (ej. cifrado de extremo a 
extremo de WhatsApp). 

En este sentido, es necesario que las recomendaciones de seguridad digital de 
organismos internacionales (ej. la OEA), así como las políticas o estrategias nacionales que 
formulen los Estados, incluyan el uso del cifrado como formas de defender la privacidad 
y libertad de expresión de las personas. Como se ha mencionado antes, las estrategias de 
seguridad digital deben ser diseñadas e implementadas de manera consistente con el 
derecho internacional de los derechos humanos. Por ejemplo, el derecho a la privacidad 
debe ser un componente central en el desarrollo de una política o estrategia de seguridad. 
Estos principios deben ser explicitados en el plan, tanto en su desarrollo como en sus 
anexos. 


Como se examinó en el Principio 1, los antecedentes regionales de adquisición y uso 
de tecnología de vigilancia, y de espionaje estatal evidencian la necesidad de políticas 
o estrategias de seguridad digital que consideren acciones concretas a través de la 


29 El código abierto es un modelo de desarrollo de software basado en la colaboración abierta. 

Se enfoca más en los beneficios prácticos (acceso al código fuente) que en cuestiones éticas o de 
libertad que tanto se destacan en el software libre. Levine, S.S. & Prietula, M. (2014). Open Collabora- 
tion for Innovation: Principies and Performance. Social Science Research NetWork, 25(5). Disponible 
en http://dx.doi.org/10.2139/ssrn.1096442. 

30 Schneier, B. (1999,15 de septiembre). Open Source and Security. Crypto-Gram. Disponible en 
https://www.sch neier.com/crypto-g ra m/a rchives/1999/0915.htm l#OpenSou rcea ndSecu rity 

31 Privacy International. (2015). Securing Safe Space Online: Encryption, oniine anonymlty and 
human rights. Disponible en 

https://www.privacyinternational.org/report/l118/securing-safe-spaces-online-encryption-onli- 

ne-anonymity-and-human-rights 

32 Kambo, H. (2015, 4 de septiembre). The pincer movement against encryption [blog post]. 
Disponible en https://www.privacyinternational.org/node/641. 
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cooperación internacional y alianzas con otros sectores.^^ Adennás, reiterarnos que deben 
estar en línea con los estándares de protección de los derechos fundannentales. 

Para prevenir estos riesgos, se deben desarrollar políticas de cifrado de lascomunicaciones 
y navegación en internet que contemplen indicadores esenciales para el ejercicio pleno de 
las libertades individuales. Estas deben incluir la creación de indicadores de transparencia 
en el desarrollo de software, pues es la única forma de garantizar un cifrado confiable y 
auditable de forma colectiva. En este sentido, se ha demostrado que la "seguridad por 
transparencia” es más eficaz en la solución de fallos y, por lo tanto, se vuelve un elemento 
clave para la seguridad informática.^^ 

A su vez, esto dificultaría el robo de información y la inclusión de puertas traseras, que hoy 
ponen en peligro a las personas que legítimamente usan software de comunicación 
cifrada,sin quedisminuya la probabilidad de usode personascon intencionescriminales.^^ 
Estos actores maliciosos probablemente encontrarán otros medios de comunicación, 
mientras que la mayoría de las personas no tendrán disponibles las mismas herramientas. 
De esta forma, se genera una asimetría y efectos perjudiciales para la mayoría de la 
población, ya que los gobiernos y actores maliciosos pueden explotar y abusar de dichas 
puertas traseras. 

La confianza de las personases fundamental para el crecimientoy la evolución de internet. 
La misma genera valoraciones positivas en el uso de aplicaciones y servicios seguros 
que sean respetuosos de la privacidad. Por lo tanto, es indispensable el fomento de 
mecanismos confiables para la autenticación, confidencialidad e integridad de los datos 
como componentes vitales para la construcción de productos y servicios de confianza. 


David Kaye, Relator especial de la ONU para la libertad de expresión, en su informe sobre 
la importancia del cifrado y el anonimato para la libertad de expresión, manifestó que 
"el cifrado y el anonimato proporcionan la privacidad y la seguridad necesarias para el 
ejercicio de la libertad de opinión y de expresión en la era digital” (Traducción nuestra).^® 


33 Véase la nota 10. 

34 Challet, D., & Du, Y. L. (2005, 5 de septiembre). Microscopio Model of Software Bug Dynamics: 
Closed Source Versus Open Source. International Journal of Reí lábil ity, Quality and Safety 
Engineering. Disponible en http://arxiv.org/pdf/condmat/0506511.pdf 

35 Una puerta trasera es una técnica informática que implica la introducción de una secuencia de 
programación dentro del código fuente que permite evitar los sistemas de seguridad. Tal como su 
nombre lo indica, es una forma de ingresar a un sistema “por la parte de atrás". 

36 Kaye, D. (2015, 22 de mayo). Report on encryption, anonymity and the human rights fra- 
mework. A/HRC/29/52. Disponible en http://www.ohchr.org/EN/lssues/FreedomOpinion/Pages/Call- 
ForSubmission.aspx 
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Siguiendo esa premisa, el Relator recomienda, entre otras cosas, que “las legislaciones 
nacionales [reconozcan] que los individuos son libres de proteger la privacidad de sus 
comunicaciones digitales mediante el uso de tecnologías de cifrado y herramientas que 
permiten el anonimato en línea” (Traducción nuestra)T’ 

También destaca que se debe promover el acceso a estas herramientas y tecnologías, 
más allá de que los debates sobre cifrado y anonimato hayan sido polarizados por su uso 
potencialmente criminal. Por lo tanto, se propone un cambio en el debate para destacar 
la protección que estas tecnologías ofrecen a los individuos, especialmente a los grupos 
que viven en situación de riesgo: periodistas, personas que defienden los derechos 
humanos, activistas de derechos sexuales y reproductivos, activistas que luchan por el 
reconocimiento político y social de la diversidad sexual y de género, etc. 


Principio 5. Usar análisis de privacidad por diseño y de impacto 
en derechos humanos 


El concepto de privacidad por diseño^® innplica que las nnedidas de privacidad sean 
operativas a lo largo de todo el ciclo de vida de las tecnologías, desde la fase inicial de 
diseño hasta su innplennentación, uso y elinninación definitiva.^^ Si bien la privacidad por 
diseño nace conno un concepto ligado al desarrollo de las tecnologías, esto no innplica que 
quede solo relegado a dicho ánnbito. Por el contrario, su filosofía puede ser innplennentada 
en diversos cannpos conno en la fornnulación de leyes y regulaciones, o en el desarrollo de 
políticas públicas. 


37 Ibíd, párr. 8. 

38 El concepto de “privacidad por diseño” comienza a escucharse por primera vez en el año 1995, 
partiendo de la base del concepto ''privacy-enhoncing technologies" o tecnologías que mejoran 
la privacidad, que aparece en un informe conjunto publicado por el Comisionado de Información 
de Ontario, la Autoridad Neerlandesa de Protección de Datos y la Organización de los Países 
Bajos para la Investigación Científica Aplicada. Para conocer más al respecto, véase Hes, P. & 
Borking, 3. (eds.; 2000). Privacy-Enhancing Technologies: The Path to Anonymity. Pevised edition. 
Achtergrondstudies en Verkenningen, 11. 

Disponible en https:/7autQrít.eít.permi» i i- ¡emí is.nl/T¡tes/feiefaultT¡les/cÍQwnlQads/av/avlTpdf : Botero. 
C. (2015,17 de noviembre). ¿Qué es lo privocidad por diseño y por qué deberfo importo ríe? [blog 
post]. Disponible en https I ¡ ii i 'a -^irg r—, l~-]-pr¡vacidacJu:3Qr~díseno-AA--pormue-deb ~. ríaum-- 

portarle/. 

39 van Pest J., et al. (2014) Designing Privacy-by-Design. En Preneel B. & Ikonomou D. (eds.; 2012). 
Privacy Technologies and Policy. Lecture Notes In Computer Science, 8319. Disponible en 

httpSí/Tnk.spnnc . ?r.CQmA:hapter/l0.1QQ7/T :? 78-3 -642-54069-1 4 . 
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La implementación de la privacidad por diseño está centrada en 7 principios guía:^° 

1. Las nnedidas deben ser proactivas, no reactivas. Es decir, se evita que ocurran 
-anticipando y previniendo- incidentes o eventos que pueden interferir con la 
privacidad antes de que sucedan. 

2. La privacidad debe estar innplennentada de fornna predeternninada. No debe 
requerirse ninguna acción especial por parte de las personas para proteger su 
privacidad. Esto brindará la nnáxinna protección posible para su privacidad. 

3. La privacidad debe estar integrada en el diseño y arquitectura de los sistennas de 
tecnologías de la infornnación y en las prácticas de las ennpresas en fornna holística. 
Es un connponente de las funcionalidades básicas brindadas que debe integrarse al 
sistenna sin afectar su operación. 

4. La funcionalidad siennpre debe ser total. La privacidad por diseño busca aconnodar 
todos los intereses y objetivos legítinnos bajo un juego de sunna positiva, es decir, 
todas las partes ganan. 

5. La seguridad debe ser de extrenno a extrenno. La privacidad debe ser protegida 
a lo largo de todo el ciclo de vida de la tecnología o la infornnación en cuestión, 
bajo estándares que aseguren la confidencialidad, integridad y disponibilidad de la 
infornnación, y protocolos de cifrado que cuenten con la aprobación consensuada 
de las connunidades técnicas. 

6. La privacidad por diseño debe ir de la nnano de políticas de transparencia y 
visibilidad conno fornna de garantizar una adecuada rendición de cuentasy ganar la 
confianza de las personas. 

7. El enfoque debe estar puesto en las personas. La privacidad por diseño requiere 
que el desarrollo de las tecnologías, prácticas, políticas, leyes o regulaciones se 
centren en las necesidades e intereses de las personas, quienes deben poder contar 
con la infornnación suficiente para tonnar decisiones adecuadas vinculadas a su 
privacidad. 


40 Cavoukian, A. (2011). Privocy by Design, the 7 Foundational Principies. Implementation and 
Mapping of Foir Information Practices. Ontario, Cañada: Information & Privacy Commissioner. 
Disponible en httrie i -h’ 'ío r-~ M'T:ent/IAB^U!:-k _Q1l/03/f red_carter.pdf . 
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A modo de ejemplo, podemos mencionar el caso de la Dirección Nacional de Protección 
de Datos Personales en Argentina, que en 2015 tomó el concepto y los principios de la 
privacidad por diseño para incluirlos en su Guía de buenos prácticos en privocidod poro 
el desorrollo de oplicociones.'^^ También es relevante el Reglomento Generol de Protección 
de Dotos, aprobado por el Parlamento Europeo en 2016, que adopta en su artículo 25 una 
variante de la privacidad por diseño sobre la protección de datos desde el diseño y por 

defecto."^^ 


También vale la pena mencionar el informe de 2014 sobre privacidad y protección de datos 
personales por diseño elaborado por la Agencia de la Unión Europea para la Seguridad de 
las Redesy la Información (ENISA, porsussiglasen inglés).^^ El informe brinda un inventario 
sobre diversos enfoques, estrategias y técnicas de construcción de la privacidad por 
diseño, con el fin de facilitar las herramientas para poder implementarla efectivamente. 
En 2015, ENISA publicó un nuevo informe llevando el análisis de la privacidad por diseño 
al big dotoó"^ Entre las recomendaciones, la ENISA llama al poder legislativo a apoyar y 
promover el desarrollo de mecanismos que incentiven servicios que sean amigables con la 
privacidad, además de promover la privacidad y la protección de datos en las normativas. 
Por otra parte, establece que los organismos desarrolladores de estándares deben incluir 
consideraciones a la privacidad en sus procesos de estandarización. Las autoridades 
de protección de datos también deben jugar un papel importante proporcionando 
orientación independiente, y evaluando módulos y herramientas para la ingeniería de 
privacidad. 


Con el fin de brindar lineamientos clarosy precisos que respondan a cómo implementar la 
privacidad por diseño a partir de una metodología concreta, Nokia, la empresa finlandesa 
de telecomunicaciones, publicó el documento Privocy Engineering &Assuronce, en el que 
detalla su estrategia para poner en funcionamiento una metodología que permita tender 
un puente entre el enfoque legal y el tecnológico, logrando la formación de profesionales 
especializados como ingenieros de privacidad."^^ 


41 Ministerio de Justicia & Dirección Nacional de Protección de Datos Personales (2015,10 de abril). 

Guío de Buenas Prácticas en Privacidad para el Desarralla de Aplicacianes. Disposición N° 18/2015. 
Disponible en htt.p /7// iiis "Kob ni [ _ i_ ^ i "T : r - T 

42 Parlamento Europeo. (2016, 27 de abril). Peglamento general de protección de datos. Regla¬ 
mento (UE) 2016/679. Disponible en 

http: í/e ur-1ex.europa.eu/IegaI-content- E ’ ' - ['^ 1 L/?uri-CE LE ^ ^ n -1 - 

43 Danezis, C. et al. (2014). Privacy and Data Pratectian by Design. Europe: ENISA. Disponible en 

r/, • • .enisa.eurQpa.eu/pubE ..ovr'.._v ¡.. rivjcy ar 'd 'VÍ ata-protection ' av-c j gn . 

44 D'Acquisto G. (2015). Privacy by design in big data. ENISA. Disponible en 

: aa\eiaisa,europa,eu/publicatr 'a^ í lO data-protection. 

45 Nokia (2014). Privacy Engineering & Assurance; The Emerging Engineering Discipline far imple- 

menting Privacy by Design. Disponible en íifr; r.pr rniiP' nn'~irí-~ ui amarrar En : _Er]a a 
n eenng+assurancL I . ! > .ji^df 
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La metodología propuesta por Nokia se sustenta en una base de conocimiento sobre 
privacidad. Esto incluye principios; amenazas y sus vulnerabilidades de ingeniería 
subyacentes; riesgos; requisitos y pautas de protección; y patrones de diseño para 
implementar controles de protección de la privacidad. Esta disciplina cuenta con dos 
componentes. El primero es la “ingeniería de privacidad", que consiste en una etapa 
de planificación en donde se evalúan las amenazas y su mitigación, así como también 
la identificación de los requerimientos de privacidad. Luego, en las etapas de diseño, 
implementación y prueba, se diseñan y ejecutan los controles de protección de la 
privacidad en productos y servicios. 

En segundo lugar, encontramos la “garantía de privacidad”, en donde se verifica la 
conformidad de los productos y servicios con controles de protección a la privacidad y el 
cumplimiento normativo. A su vez, se contrastan cada uno de los puntos con la evidencia 
existente que permita dar cuenta del cumplimiento de cada etapa del proceso. 

Ahora bien, cuando hablamos de los Estados y las evaluaciones de impacto en derechos 
humanos entra en acción el deber que tienen de proteger a su población. Esta 
responsabilidad conlleva obligaciones negativas y positivas. La primera de ellas implica 
no incurrir en acción alguna que pueda poner en peligro o directamente viole el ejercicio y 
goce de derechos humanosy libertades individuales. La segunda supone tomar medidas 
que ayuden a promover, garantizar e incentivar el librey pleno ejercicio de dichos derechos 
y libertades. 

Los Principios Rectores sobre ios empresas y ios derechos humanos (en adelante, 
Principios Rectores) de la ONU son un buena guía para explorarformasde implementación 
de evaluaciones de impacto en derechos humanos. En ellos se aclaran los deberes y 
responsabilidades de los Estados y las empresas con relación a la protección y respeto 
de los derechos humanos en el contexto de actividades empresariales."^® Con el fin de 
identificar, prevenir, mitigar y responder a los impactos negativos sobre los derechos 
humanos de las actividades empresariales, los Principios Rectores establecen que las 
empresas deben proceder con la debida diligencia. En ese sentido, deben (1) evaluar el 
impacto actual y potencial en los derechos humanos; (2) actuar sobre los descubrimientos; 
(3) realizar el seguimiento del rendimiento de dicha actuación; y (4) comunicar cómo se 
está trabajando en el impacto actual y potencial identificado inicialmente. 


46 ONU. (2014). Preguntas frecuentes acerca de los principios rectores sobre las empresas y los 
derechos humanos. HR/PUB/14/3, p. 6. Disponible en 

http://wy-.-'vv ohchr.ora/Document /Publications/FAO PrinciplesBussinessHR SP.pdf . 
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Para simplificar este proceso, tanto las empresas como los Estados deberían llevar a cabo 
evaluaciones de impacto en derechos humanos, evaluar los riesgos para las personas 
titulares de derechos -no solo para la empresa o el Estado-, y la capacidad de quienes 
tienen deberes. Los instrumentos en los que se debe basar dicha evaluación, como se 
mencionó en el Principio 1, son los comprendidos en la Corto Internocionol de Derechos 
Humónos, que consiste en la Decloroción UniversoI de los Derechos Humónos y el 
Poeto Internocionol de Derechos Civiles y Políticos, el Poeto Internocionol de Derechos 
Económicos, Sociolesy Culturóles, y sus protocolos facultativos.'^'^ 


Principio 6. Desarrollar CSIRT independientes de las fuerzas del orden público 


Ante un eventual incidente de seguridad informática, las personas que utilizan la 
tecnología cotidianamente-e incluso quienes no son usuarias-son las que ven expuestos 
sus datos. Paradójicamente, son ellas las más desprotegidas, pues encuentran grandes 
dificultades para resolver la situación y tomar acciones que eviten una nueva ocurrencia. 
Algunas empresas ocultan sus incidentes de seguridad, a pesar de que, muchas veces, 
impliquefiltración de información. En estos escenarios, las personas son lasdamnificadas. 
Este tipo de comportamientos suele deberse al miedo a perder reputación, a que su 
imagen como empresa quede dañada y/o a que, ulteriormente, tengan que responder 
legalmente por su negligencia. 

A medida que se incorporan más personas al ciberespacio y crece el volumen de 
información de todo tipo -incluyendo información personal, sensible, económica, 
etc.- internet se vuelve un blanco de interés para actores maliciosos que buscan explotar 
las vulnerabilidades de la infraestructura de la red. Según señalan investigaciones en 
seguridad informática, hay una tendencia creciente en la industrialización del cibercrimen, 
que incluye cadenas de profesionales especializados en desarrollo de software, ejecución 
de las operaciones y hasta en lavado de dinero, que se manejan como verdaderos negocios 
en un campo altamente competitivo."^® 

Podemos afirmar entonces que tanto en el sector privado como en el público existen 
actoresy situacionesque ponen en riesgo la seguridad de las personasy de la sociedad civil, 
convirtiéndose en una compleja problemática multidimensional. Frente a este escenario, 

47 Ruggie, J. (2007, 5 de febrero). Evaluaciones de impacto sobre los derechos humanos: resolu¬ 
ción de cuestiones metodológicos esenciales. A/HRC/4/74. Disponible en 

ohchr.org/EN/lssues/Trc3nsnationalCorporations/Ra ges/Reports.aspx 

48 Goodman, M. (2015), Future Chimes: Everythlng Is Connected, Everyone Is Vulnerable and Whot 
WeCon Do About It. New York, USA: Random House. 
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queda en evidencia la necesidad de contar con un organisnno que pueda responder 
ante las problennáticas, urgencias e inquietudes de la sociedad civil, reconociendo que 
la nnisnna se encuentra en una posición de desventaja con respecto a posibles abusos 
de terceros. Es allí donde el rol de los equipos de respuesta a incidentes de seguridad 
infornnática (CSIRT, por sus siglas en inglés) se vuelve crucial para prevenir, gestionar y 
responder a incidentes de seguridad de la infornnación. 

En Annérica Latina, los CSIRT o CERT surgen principainnente en el ánnbito gubernannental, 
respondiendo a necesidades latentes de los Estados de proteger sus datos, sistennas e 
infraestructuras críticas. Tal es el caso de Argentina, Brasil, Bolivia, Chile, Colonnbia, Costa 
Rica, Ecuador, Guatennala, México, Raraguay, Rerú, Uruguay y Venezuela."^^ 

Dado todo este contexto y ante el posible crecinniento exponencial de los incidentes de 
seguridad infornnática, se vuelve urgente y necesario pronnover equipos de respuesta que 
sean independientes e innparciales,y que trabajen por la protección de las infraestructuras, 
la infornnación y la seguridad de las personas que utilizan las tecnologías. Esto pernnitirá 
una respuesta nnás efectiva que garantice el pleno desarrollo de la sociedad civil en el 
ánnbito digital. 

Actuainnente, es cada vez nnás connún ver a diversos CSIRT alrededor del nnundo adoptar 
una actitud nnás proactiva. Hoy no solo actúan ante una ennergencia, sino que trabajan para 
brindar servicios de prevención y detección de incidentes. Incluso elaboran docunnentos 
que sugieren la innplennentación de buenas prácticas de seguridad infornnática, y 
connunican y difunden vulnerabilidades vinculadas con la seguridad de la infornnación. 
Este tipo de acciones está pernnitiendo identificar patrones de ataque o sistennatizar 
problennas connunes con el fin de prevenirlos o nnitigarlos. 

A connienzos de 2016, la OEA publicó una guía de buenas prácticas para establecer un 
CSIRT nacional. El docunnento analiza el proceso de creación y puesta en nnarcha de 
un CSIRT, con diversas consideraciones respecto a su nnisión, visión, alcance, servicios, 
aspectos legales, institucionales y organizacionales, recursos hunnanos, infraestructura, 
así conno tannbién las diferentes políticas y procedinnientos para asegurar la fluidez en 
las operaciones.^® Este docunnento tannbién puede servirle a los Estados al nnonnento de 
considerar la puesta en nnarcha de CSIRT sectoriales independientes e innparciales. 

49 BID & OEA. (2016). Informe Ciberseguridod 2016. ¿Estamos preparados en América Latina y el 
Caribe?. Disponible en 

htrp:/;/www.íadb.org/es/nc)tic¡as/CQmuníc . 1 '!( -2' t ii :sa/20l6-Q3-l4/¡rifc)rii k -J i-- iborsegu r a. 

dad-en-annerica-latina.11420.htnnl . 

50 OEA (2016). Buenas prácticas para establecer un CSIRT nacional. Programa de Seguridad Ciber¬ 
nética. Disponible en: 

https://w .. si tes.oas.or 'j ' \/ber/DocurTients/2016%20-%20Buenas%20Pract¡cas%20CSIRTpdf 
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Para esclarecer este punto, podríamos hacer un paralelismo del ámbito analógico con 
el digital, y tomar como ejemplo el caso de la Cruz Roja y su respuesta humanitaria ante 
escenarios bélicos o desastres naturales.®^ Esta organización fundada en 1859 mantiene 
una esencia de neutralidad, lo que implica no involucrarse o tomar posición con ningún 
bando en las crisis ante las que proporciona su asistencia o protección, que es brindada 
de forma imparcial, sin discriminación o preocupación por la identidad de las víctimas o 
su actividad previa. Además, mantiene una independencia que le permite no estar atada 
a la agenda de ningún actor gubernamental en particular.^ 

Contar con CSIRT independientes e imparciales representaría un gran avance en la 
construcción de confianza en el ciberespacio. Comenzando por la reorientación del 
análisis de la seguridad digital hacia la mejora de la seguridad de las personas, y evitando 
losjuegos de suma-cero, así como los argumentos de securitización. 

Por último, cabe recordar que la función esencial de los CSIRT incluye la coordinación 
de respuesta y el intercambio de información y difusión en lo referente a incidentes 
informáticos. Cuando hablamos del desarrollo de políticas o estrategias nacionales de 
seguridad digital, la facultad de contar con las herramientas y recursos para producir 
información y datos se vuelve imprescindible. Tener certezas sobre las cuales construir 
la estrategia y el plan de acción de seguridad digital, conociendo las problemáticas que 
enfrentan los diversos sectores de la sociedad, debería ser un requisito s/ne qua non, pues 
es la única forma de comprender los riesgos y necesidades de las personas usuarias de 
las tecnologías. 


Principio 7. Apoyar buenas prácticas de seguridad digital en 
los sistemas informáticos 


En el cannpo de la seguridad infornnática, una de las prácticas nnás connunes es la 
investigación de vulnerabilidades, es decir, la búsqueda de debilidades del sistenna que 
le pernniten a un agente externo obtener acceso, generainnente con fines espúreos, 
innpactando negativannente en la integridad, confidencialidad o disponibilidad del 
sistenna.^^ Estas debilidades son el resultado de fallos en el diseño del sistenna o a veces 
sinnplennente linnitaciones tecnológicas. 


51 Véase Cruz Roja Internacional, (s.f). El movimiento internacional de la Cruz Roja y de la Media 
Luna Roja [blog post]. Disponible en 

L: V, ít ^)fcies/nur Cra vision-nuestr ¡miento/ 

52 Hollis, D. & Maurer, T. (2015,18 de febrero). A Red Cross for Cyberspace. Time. Disponible en 

[j //time.com/3715226/red-c[ osñ-.'O/bea i _.ac- 

53 Véase el sitio web de Camman Vulnerabilities and Expasures en 

.://cve.mitre. org/about/tern iinolua v.i itn íL 
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Bruce Schneier, experto internacional en seguridad infornnática, establece que el escrutinio 
público es necesario para nnejorar la seguridad de los sistennas. Alienta la búsqueda y 
revelación de vulnerabilidades, en contraposición a la "seguridad por oscuridad”, ya que 
el secretisnno innpide la posibilidad de evaluar el riesgo, a la vez que excluye el debate 
público e inhibe el potencial de aprendizaje sobre seguridad infomnática.^"^ 

Actuainnente, se pueden encontrar ennpresas que nnantienen progrannas de reconnpensa 
por errores o bug bounty, con los que se busca reconocery reconnpensar a quienes reporten 
vulnerabilidades de los sistennas infornnáticos.^^ Esto les pernnite a las ennpresas incentivar 
a estudiantes, hackers y personas expertas vulnerabilidades y reducir la probabilidad de 
incidentes a causa del uso generalizado de debilidades desconocidas (zero-doys). 

Esta práctica puede ser adoptada por los Estados con el fin de alentar y apoyar el trabajo 
de investigación en nnateria de seguridad. De esta fornna y con apoyo de personas 
interesadas actuando de buena fe, se puede identificar y compartir responsablemente las 
vulnerabilidades de seguridad y privacidad detectadas en las diversas implementaciones 
tecnológicas que los mismos Estados llevan a cabo en su relación con la ciudadanía. 


Para poner en marcha esta práctica, es necesario que los Estados creen canales de 
comunicación y protocolos de actuación frente a la identificación de vulnerabilidades de 
grupos o individuos que realizan auditorías independientes en sistemas de información 
del Estado. A comienzos de 2016, el Gobierno de los Estados Unidos lanzó su primer 
bug bounty Hock the Pentogon, con el objetivo de identificar vulnerabilidades en su 
red, analizar la seguridad de sus sitios web públicos y la robustez de sus sistemas ante 
potenciales intrusiones.^® Esta iniciativa puede servir de inspiración para los Estados 
latinoamericanos adaptándola a sus propios contextos, dejando atrás otras prácticas que 
terminan perjudicando al ecosistema de la seguridad informática, en ocasiones acarreando 
graves consecuencias para las personas que trabajaron en reportar las vulnerabilidades.®'^ 

54 Schneier, B. (2007). FuII DIsclosure ofSecurlty Vulnerobllltles a ‘Domned Good Ideo’ [blog post]. 
Disponible en h tt ps://www.sc h n e i e r.co m/essays/a re h i ves/2007/01/se h n e i e r_f u I Ld isc I o. h t nn I . 

55 A modo de ejemplo, podemos mencionar empresas como Apple, Microsoft, Mozilla 
( https://www.mozilla.org/en-US/security/bug-bounty/ ). Google ( https://www.google.com/about/app- 
security/programs-home/ ) y Facebook ( https://www.facebook.com/whitehat ). 

56 Carman, A. (2016, 2 de marzo). The US government just launched its first bug bounty program. 
The Verge. Disponible en 

https://www.theverge.com/201 6/3/2/11146420/hack-the-pentagon-depa rtment-of-defen- 

se-bug-bounty. 

57 En tal sentido, destacamos con preocupación dos casos. El primero de ellos ocurrió en 
Colombia, cuando ante el reporte de vulnerabilidades de la plataforma de censo digital, el 
Departamento Administrativo Nacional de Estadística (DAÑE) optó por desacreditar públicamente 
a la persona que había reportado los problemas de seguridad. Véase Botero, C. (2018,18 de enero). 
Lección 1 del e-censo: no matar a la mensajera. El Espectador. Disponible en 
https://www.elespectador.com/opinion/leccion-l-del e censo-no-matar-la-mensajera-colum- 

na-734171 El segundo caso ocurrió en Argentina, cuando un programador que reportó vulnerabili- 
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De otra parte, es fundamental que los Estados promuevan e implemente la práctica de 
utilizar programas informáticos actualizados con las últimas correcciones de seguridad, 
de modo que no se reduzcan los riesgos digitales de las personas.. Esto es aún más 
importante cuando se considera que las actividades en línea pueden tener consecuencias 
directas en la vida diaria de las personas como, por ejemplo, la administración en línea 
de las finanzas personales (home banking), el pago de impuestos, las solicitudes de 
beneficios sociales en un sitio web estatal, etc. Todas ellas son situaciones cada vez más 
habituales que, incluso, forman parte las diversas iniciativas de digitalización del Estado, o 
dicho de otro modo, de la profundización del gobierno electrónico. 

Cualquier iniciativa que limite las actualizaciones de programas informáticos, o que 
persiga implementar vulnerabilidades mediante estas actualizaciones, puede generar 
consecuencias muy negativas en términos de seguridad y confianza de las personas. Por 
tanto, deben evitarse, corregirse en caso de que persistan esas limitaciones, y rechazarse 
abiertamente si no son subsanadas. 

Ante estas situaciones, un primer paso para la protección de la seguridad digital de las 
personas es que los sitios web implementen obligatoriamente un protocolo de cifrado 
robusto, como el protocolo de transmisión segura de datos. Este protocolo permite que 
los datos que viajan por internet lo hagan de forma oculta, reduciendo significativamente 
su interceptación por un actor malicioso.^® De esta forma, recomendamos a los 
Estados corregir malas prácticas que aún exigen a la ciudadanía acceder a servicios 
gubernamentales digitales a través de navegadores obsoletos y desactualizados (ej. 
Internet Explorer 10).^^ 


Principio 8. Impulsar la participación multisectorial 


Si bien todavía es predominante la idea de algunos gobiernos de que la seguridad digital 
debería estar bajo el ámbito de los Estados y trabajarse en estrecha colaboración con el 


dades de seguridad vinculadas al sistema de votación electrónica de la Ciudad de Buenos Aires fue 
denunciado penalmente. Tras un proceso judicial de más de un año, que incluyó el allanamiento de 
todos sus dispositivos electrónicos, fue sobreseído a mediados de 2016. Véase Sobreseyeron al pro¬ 
gramador que reveló fallas en el sistema de voto por Boleta Única Electrónica { 2016, 2 de agosto). 
La Nación. Disponible en Litip; //yy I i i J 1 ’38-sobreseyeron-alproaramador- 

reveio-fallas-en-eñ ' _l_ Di n, i 

58 Para más información, véase Fundación Karisma. (s.f). Navegación segura. Cenias de internet, 

3. Disponible en ht.tp:/Únt^f í i'-r i m _ h-i i- 'i aenic 3-jc-internetmnamuía-para-nneiorarDu-se- 

uno jd-en - la - red/no T i _ u m 

59 Microsoft. (2016). Se ha dejada de afrecer saparte para las versianes anteriares de Internet 

Explarer. Disponible en hicr: nii :rpp:rt : h dP'Vsforbusíness/end-of-íe-suDPQrt . 
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sector privado, cada vez es más fuerte el argumento de que las políticas y medidas de 
seguridad digital deben construirse desde una aproximación multisectorial, es decir, con 
múltiples partes interesadas. 

Así se ha expresado en el Documento final de lo reunión de alto nivel de lo Asamblea 
General sobre el examen general de la aplicación de los resultados de la Cumbre Mundial 
sobre la Sociedad de la Información (WSIS, por sus siglas en inglés), en donde se reiteró 
que “se debe promover y desarrollar una cultura global de ciberseguridad”, para lo que 
“las medidas de ciberseguridad deben implementarse en cooperación con todas las 
partes interesadas”®^ 

Además, desde hace varios años existen foros internacionales que han adoptado una 
aproximación multisectorial como, por ejemplo, la WSIS, la Conferencia Mundial del 
Ciberespacio (CCCS, por sus siglas en inglés), el Foro de Gobernanza de Internet (IGF, por 
sus siglas en inglés), la UIT, y grupos técnicos como el Internet Engineering Task Forcé 
(lETF). 

A un nivel nacional, la instancia más destacadle es el caso de Brasil y su Comité Gestor de 
Internet (CCI.br), que aunque ha estado bajo ataque en el último tiempo, es la organización 
multisectorial responsable de promover el desarrollo tecnológico de los servicios de 
internet y de difundir información con respecto a las últimas innovaciones y servicios 
disponibles en Brasil.®^ 

La necesidad de colaborar e intercambiar información entre las múltiples partes 
interesadas cobra mayor relevancia si se tiene en cuenta la naturaleza misma del 
ciberespacio y de cómo las amenazas a la seguridad digital afectan a todo el ecosistema 
digital. Para atender de forma más efectiva estas amenazas, es necesario crear procesos 
participativos, abiertos, multisectoriales e inclusivos. Estos pueden incluir la construcción 
de políticas y medidas de seguridad digital entre quienes crean, supervisan, custodian, 
investigan y utilizan sistemas informáticos y tecnologías de la información; es decir, entre 
los gobiernos, el sector privado, la comunidad técnica, la academia y la sociedad civil. 

Por todo lo anterior, se vuelve primordial establecer una comprensión común entre 
todas las partes interesadas acerca de las amenazas a la seguridad digital, y así poder 
tomar medidas más efectivas de protección de la información. También es necesario 

60 Asamblea General de ONU. (2016,1 de febrero). WSI5+10 Outcome Document 2015. 

A/RES/70/125, párrs. 50-52. Disponible en 

:.p://www.un.C)rq, t , > earci i/view i í 11 ’ I =¿iTlE7 7^ 025 

61 Véase la nota de repudio de la Colación brasilera por los derechos de la red en 

://direitQsnarede.ora.br/p/tsí^ iM^i - ii iii í iq rni [-)r/ 
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un reconocinniento connún de los papeles y responsabilidades de cada actor con el 
fin de prevenir y nnitigar eficaznnente las annenazas. Esa definición connún debe ser lo 
suficientennente flexible para pernnitir que cada actor desennpeñe sus funciones de 
acuerdo a las diferentes nnedidas de seguridad digital que se estén discutiendo. 

Esto es especiainnente crucial para la sociedad civil, sector confornnado por una annplia 
diversidad de grupos de interés que trabajan de fornnas diferentes. En sus distintas facetas, 
la sociedad civil puede asunnir un papel de experta, pero tannbién puede sinnplennente 
expresar preocupaciones de la ciudadanía. Adennás, puede tonnar el papel de veedora o 
f iscalizadora de las actuaciones públicas y/o privadas, y ofrecer evidencias que ayuden en 
la construcción de políticas. 

La comunidad técnica, por su parte, puede cumplir un papel crítico de asesoramiento 
independiente sobre las posibles consecuencias de las decisiones de políticas públicas 
en seguridad digital, y la forma en la que las medidas propuestas podrían o no funcionar 
o impactar el ecosistema digital.®^ Por su parte, la academia puede aportar con 
investigaciones; estudios comparados; modelos teóricos, descriptivos, predictivos, etc; 
análisis desde diferentes perspectivas o escuelasteóricas, de discurso, de comportamientos 
de indicadores en el tiempo; propuestas de indicadores de evaluación, etc., que proveen 
insumos o material para informar los procesos de toma de decisiones. El sector privado, 
que incluye a las proveedoras de servicios de internet y al sector de tecnologías de la 
información, es crucial por su papel en la creación, manejo y mantenimiento de redes y 
tecnologías sujetas a amenazas. 

Sin lugar a dudas, los gobiernos están en mejor condición de liderar los esfuerzos en torno 
a la seguridad digital, pero deben promover y asegurar procesos participativos, abiertos, 
multisectoriales e inclusivos.®^ Apostar por procesos que reúnan las características 
antes mencionadas permite tener mejores políticas, tendientes a garantizar el efectivo 
disfrute de los derechos humanos en entornos digitales, así como facilitar el desarrollo 
de normas y medidas para su implementación. Esto, a su vez, otorga mayor legitimidad 
y sostenibilidad a las mismas. 

Un ejemplo puede encontrarse en la recién adoptada política de ciberseguridad chilena, 
resultado de un proceso que demostró el interés del Gobierno en construir un hoja de ruta, 
de manera participativa, abierta e inclusiva, y que atendiera los desafíos de la seguridad 

62 IEEE. (2016, 25 de junio). The Role ofthe Technical Community in Internet Pollcy. Disponible en 

3 a i p o 1 1 c ¡ e e e ■ o r g /w p - c o n t: e n t/u p I o a d s / 2 UT. IEEE17Q16.pdf . 

63 Global Partner Digital. (2017). Framework for Multistakeholder Cyber Pollcy Development. 
Disponible en http‘ , . /uj, :^i'^■orgA/3P-content/l.lploads/2017/03/Frame\A/ork-fQr^cyber•- 

policynnakina.pdf 
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digital en los próxinnos años.^^ El connité gubernannental encargado de este proceso no 
solo abrió un proceso de consulta pública, sino que hizo invitación directa a diversos 
actores de la sociedad civil, las ennpresas, otros organisnnos públicos y la connunidad 
técnica. La consulta tannbién estuvo aconnpañada por audiencias tennáticas con las partes 
interesadas, en las que se atendieron, de nnanera transparente y participativa, posiciones 
de diversos actores vinculados a la nnateria. 

La cooperación entre las diferentes partes es decisiva para connprender las annenazas 
digitales y llevar a cabo nnejores evaluaciones de la efectividad de las acciones de cada 
actor en el ciberespacio. Ahí reside la innportancia de incluir nnúltiples voces e intereses 
en la construcción e innplennentación de políticas o estrategias nacionales de seguridad 
digital. Es responsabilidad de los gobiernos garantizar que la participación sea annplia, 
diversa, inclusiva y efectiva. 


Principio 9. Recoger e implementar experiencias y buenas prácticas 


Cuando en este principio nos referirnos a las evaluación de experiencias e implementación 
adaptada de buenas prácticas, es necesario reconocer el innportante papel de liderazgo 
que juega el sector público tanto al mostrar sus fuertes compromisos para con el respeto 
de los derechos humanos en la implementación de políticas o estrategias nacionales 
de seguridad digital, como también en la transparencia y rendición de cuentas sobre 
su actuar. Esto establecerá el ejemplo para las otras partes interesadas, además de que 
mejorará la confianza al proporcionar una dirección clara a los actores del ecosistema 
digital de cada país. 

Una política o estrategia nacional de seguridad digital que ponga en práctica lo 
antes mencionado, permitirá que en el futuro se tomen decisiones y medidas más 
fundamentadas y equilibradas para el beneficio socioeconómico de cada país. En ese 
proceso, además, es fundamental el intercambio de experiencias y buenas prácticas, 
pues permite tener una mejor preparación y reacción ante los riesgos digitales. Por tanto, 
con este principio buscamos incentivar a los Estados a que se den esos procesos de 
intercambio. 

A nivel global existen ejemplos de alianzasy grupos que trabajan con la idea de compartir 
y documentar experienciasy buenas prácticas. El Foro Global de Ciberexperiencias (CFCE, 

64 Viollier, P. (2017). La participación en la elabaración de la palítica naclanal de ciberseguridad: 
hacia un nueva marca narmativa en Chile. Santiago, Chile: Derechos Digitales. Disponible en 

■ Itl^,_ rechQsdiqitaies.Qrg/wp-CQnt.ent./up i o a d s/c i be rseg u r i d a d. ■ ' i. 
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por sus siglas en inglés) es una platafornna que reúne país, organizaciones internacionales 
y ennpresas con el fin de “identificar políticas, prácticas e ideas exitosas y nnultiplicarlas a 
nivel global [...] para desarrollar la capacidad cibernética” de sus nniennbros.®^ 

Otro ejennplo se encuentra en la Directiva europea sobre la seguridad de las redes y los 
sistennas de infornnación que, entre otras cosas, innpulsa la colaboración de los nniennbros 
de la Unión Europea a través de la creación de “un grupo de cooperación para apoyar 
y facilitar la colaboración estratégica y el intercannbio de infornnación entre los Estados 
nniennbros”^® Más específicannente, esta directiva establece que su finalidad “es nnejorar 
el funcionanniento del nnercado interior nnediante la creación de un clinna de confianza 
y seguridad, [para ello,] los organisnnos de los Estados nniennbros deben poder cooperar 
ef icaznnente con los agentes econónnicosy han de estar estructurados en consecuencia” 
Así, reconoce las ventajas del intercannbioy la colaboración conno un nnedio para proponer 
soluciones globales a las cuestiones de seguridad digital. 

Tannbién vale la pena destacar el infornne de la OCDE sobre la gestión de riesgos para la 
prosperidad econónnica y social, que guía la elaboración de “una nueva generación de 
estrategias nacionales sobre la gestión del riesgo de la seguridad digital con el objetivo 
de optinnizar los beneficios econónnicos y sociales que se esperan de un entorno digital 
abierto” (Traducción nuestra).®® En ella se desarrollan principios y reconnendaciones que 
pueden resunnirse en la siguiente discusión. 


Es necesario que todas las partes interesadas sepan los riesgos a la seguridad digital y 
cónno nnanejarlos desde una aproxinnación de derechos hunnanos. Eso innplica que las 
partes asunnan la responsabilidad de la gestión del riesgo dentro de sus capacidades 
y alcances, y según su propio papel en el ecosistenna digital. Finainnente, esto requiere 
la cooperación de todas las partes interesadas para evitar la adopción de decisiones 
que innpacten negativannente en el respeto por los derechos hunnanos, que sean 
tecnológicannente defectuosas o que innpidan la innovación. Esa colaboración, sin duda, 
servirá para infornnar procesos o nnecanisnnos internacionales y/o regionales creados o 
por crear de los que tannbién reconnendannos a los Estados fornnar parte. 


65 Véase el sitio web del GFCE en https://www.thegfce.com/about . 

66 European Commission (2016, 5 de julio). The Directive on security of network and infarmatian 
Systems (NIS Directive). Disponible en https://ec.eu ropa.euTilaítahsínale-m 

formation securitvmis- cHr c -me 

67 Directiva No. 1148 del Parlamento Europeo y del Consejo (2016, 6 de julio). Mec//c/as c/est/no- 
das a garantizar un elevada nivel camún de seguridad de las redes y sistemas de infarmación 
en la Unión, párr. 31. Disponible en í'itT-r -iudex.eu i i l- ciahcontent/ES.^'TXT'HTML/?uri=CE- 
LL ^ Ll]-t h 'm = EN 

68 OECD. (2015). Digital Security Risk Management far Ecanamic and Sacial Prasperity; OECD 
Recammendatian and Campanian Dacument. Paris, France: OECD Publishing. DOl 
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A nivel nacional, por tanto, a instannos que se creen esos nnecanisnnos y procesos de 
cooperación entre las diferentes partes interesadas que pernnitan tener decisiones nnás 
infornnadas y equilibradas. 


Principio 10. Adoptar estándares abiertos de tecnología 


El crecinniento del innpacto y la frecuencia de los ataques digitales obliga a tener políticas, 
tecnologías y procedinnientos adecuados y suficientennente flexibles para que pernnitan 
proteger el valor socioeconónnico de internet. La flexibilidad de que habíannos tannbién 
posibilita abordar nuevos fenónnenos conno lo son el creciente desarrollo de la internet de 
las cosas. Esto exige la innplennentación de enfoques abiertos, transparentes e inclusivos, 
especiainnente en el desarrollo de estándares. 

Los gobiernos -conno propietarios, usuarios, adnninistradores y/u operadores de sistemas 
de información y redes- podrían liderar con el ejemplo mediante la adopción de mejores 
prácticas, tecnologías e incluso requisitos legislativos. Las políticas o estrategias nacionales 
de seguridad digital podrían alentar el desarrollo y/o adopción de estos estándares 
abiertos para brindar soluciones de seguridad. En este sentido, es importante que los 
Estados muestren su compromiso con una internet abierta, descentralizada y neutral. 

Lo anterior es especialmente importante si se considera, como lo apuntaron la comunidad 
técnica y el sector privado en una consulta realizada por la OCDE en 2012, que favorecer 
"requisitos unilaterales [por los gobiernos] para utilizar estándares o tecnologías locales, 
[u] obligaciones innecesarias o redundantes de documentación o certificaciones” puede 
generar un impacto negativo en la seguridad digital.®^ De hacerlo, se puede afectar el 
costo y limitar la funcionalidad de las tecnologías, así como restringir la innovación. 

Por ello, instamos a los Estados a fomentar la adopción de estándares abiertos que 
aprueban organismos de desarrollo de estándares de internet como el World Wide 
Web Consortium (W3C), el Institute of Electncol and Electronic Engineering Standard 
Associotion (lEEE-SA) o el lETF. Las políticas o estrategias nacionales de seguridad digital, 
al final de cuentas, deben propender a una internet más segura, que esté respaldada por 
el desarrollo de componentes técnicos basados en modelos de estándares abiertos. 


69 OECD. (2012). Cybersecurity Policy Moking at a Turning Point: Analysing a New Generation of 
National Cybersecurity Strategies for the Internet Economy, p. 49. Disponible en 
hti L ijeitTorg/sti/iecononny/cybersecu rity%20policy%20nnaking.pdf 
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Sobre los organismos el W3C, el lETF y el IEEE, podemos decir que han desarrollado 
un conjunto de estándares que pueden considerarse como la base de internet. En su 
conjunto, estos estándares también han sido un facilitador clave para el ejercicio de 
derechos humanos en internet. Veamos de qué manera son relevante en esta discusión. 

El W3C trabaja para hacer que la web sea accesible para todas las persona a pesar de las 
diferencias culturales, educativas, capacidades, recursos y limitaciones físicas. El objetivo 
principal de este consorcio es desarrollar protocolos abiertos y directrices para aspectos 
clave de la web (ej. código HTMLy CSS, guías de seguridad y privacidad, etc.).'^° Desde que 
se fundó en la década de los 90, el W3C ha publicado cientos de estándares -conocidas 
como recomendaciones-, que se han centrado en evitar la fragmentación de la web."^^ De 
esta manera, las recomendaciones de la W3C permiten acomodar la creciente diversidad 
de personas, hardware y software que convergen en el ecosistema digital. 


La lEEE-AS es una organismo que desarrolla estándares globales en el campo de las 
ingenierías, incluyendo las áreas de tecnologías y seguridad de la información. Este 
organismo ha introducido una serie de estándares en seguridad digital desde hace algunos 
años. Algunos a destacar son un protocolo para proteger la integridad y confidencialidad 
de las comunicaciones a través de líneas telefónicas, ondas de radio, fibra óptica, etc.'^^; 
normas para la seguridad de los sistemas de control implementados por las compañías 
eléctricas'^^; y pautas para la comunicación segura a través de redes de acceso público, 
entre otros más que están en proceso de desarrollo.'^'^ Más recientemente, en mayo de 
2017, publicó un informe en el que presenta un conjunto de medidas y buenas prácticas 
para la seguridad del tráfico de internet.'^^ Como allí se menciona, este documento busca 
servir de guía para informar futuros desarrollos de estándares, certificaciones, políticas, 
legislaciones o certificaciones de productos. 


El lETF, por su parte, es un organismo informal que estudia problemas operacionales y 
técnicos relacionados con internet, además de que desarrolla protocolos y soluciones a 
nivel de la arquitectura de internet. La mayor parte de su trabajo lo hace a través de varios 


70 Véase la página web de Misión de la W3C en https://www.w3.ora/Consortiunn/nnission . 

71 Véase la página web de Estándares de la W3C en https://www.w3.org/standards/ . 

72 IEEE Std 1888.3-2013 - IEEE Standard far Ubiquitaus Creen Cannnnunlty Central Netwark: 
Securlty ntip • sra ndards.íeee , i ' i h i i h i_ rd/1888.3-2013 hrr ~ i 

73 IEEE Std 1686-2013 (Revislan af IEEE Std 1686-2007) - IEEE Standard far Intelllgent Electranic 

Devices Cyber Securlty Capabllltles, tni jo r :ldn:h- lees org/tir J n 3 i i_ i t 1u8o-^u13.htnnl. 

74 IEEE Std C37.240-2014 - IEEE Standard Cybersecurlty Requirements far Substatlan Autamatlan, 

Protect/on, and Contro/Systems, tjsi: iSid í 3s i eos -sr;! tir ipip -Wsl-r„tjjy1 

75 IEEE. (2017). Rratecting Internet Traffic: Securlty Challenges and Salutlans. Disponible en 
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grupos de trabajo, cada uno interesado en un tenna particular de internet. Estos grupos 
suelen docunnentar su trabajo en una o nnás solicitudes de connentarios (RFC, por sus 
siglas en inglés), que a veces se convierten en estándares que ayudan a definir cónno 
funciona internet. Desde sus orígenes, este organisnno ha nnostrado una preocupación 
por la privacidad y la seguridad de la infornnación, aunque nnás desde la parte técnica.'^® 
Sin ennbargo, desde hace un tiennpo uno de sus grupos de trabajo está analizando el 
innpacto de la arquitectura de internet en el ejercicio de derechos hunnanos. Para ello, 
trabaja en un docunnento en el que se nnuestra “la relación entre los protocolos y los 
derechos hunnanos” y propone “posibles pautas para proteger internet conno un entorno 
propicio para los derechos hunnanos en el futuro desarrollo de protocolos'?"^ 

De otra parte, en cuanto al desarrollo de estándares nacionales de seguridad digital, hay 
que destacar el trabajo del Notionol Institute for Stondords ond Technology (NIST) del 
Departannento de Connercio de los Estados Unidos, que surgió a principios de siglo XX 
con el fin de generar estándares en nnedición, nornnas y tecnologías."^® Desde 2012, el 
NIST ha estado trabajando en la construcción de un nnarco de seguridad digital que trata 
de nnedir las capacidades de las instituciones para responder a ataques infornnáticos."^® 
Tannbién ha resultado útil para la fornnulación de procesos de construcción de sistenna 
de seguridad digital en organizaciones de distintos tipos.Este esfuerzo representa una 
iniciativa innportante para la estandarización de la privacidad y la seguridad en entornos 
digitales para actores individuales. 


El NIST, sin lugar a duda, tannbién es un buen ejennplo que nnuestra la apertura de sus 
grupos de trabajo. En ellos intervienen personas con diferentes experticia en la elabora¬ 
ción de nnarcos de accióny estándares. Aunque estos nnarcos no son necesariannente vin¬ 
culantes, a veces ternninan siéndolo cuando los tribunales analizan nnodelos de conducta 
para establecer responsabilidad por daños. 


76 Véase Cath, CJ.N. & Floridi, L. (2017, 6 de febrero). The Design ofthe Internet's Architecture by 

the Internet Engineering Tosk Forcé (lETF) and Eluman Rights. Disponible en 
http://dx.doLorq/l0.2139/ssr n.29123 08: Aboba, B. et al. (2013). Privacy Considerations for Internet 
Protocols. Internet Architecture Board. Disponible en httc ls.¡etf.org/pdf/r fc6973.pdf 

77 Cath, C. & ten Oever, N. (2017). Research into Eluman Rights Protocol Considerations. Internet 
Research Task Forcé. Disponible en 
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78 NIST (2012). Smart Grid Advisory Committee Report. Disponible en https://www.nist.aov/sites/ 
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79 Véase el marco de ciberseguridad desarrollado por el NIST en 
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En sunna, los estándares abiertos de seguridad digital son técnicas que intentan proteger 
el ciberespacio, reduciendo sus riesgos. Pueden expresarse en herrannientas, políticas, 
nnedidas, enfoques, nnejores prácticasy acciones, que deben ser consideradasy estudiadas 
por los Estados, en colaboración con las diferentes partes interesadas, a la hora de 
elaborar e innplennentar políticas o estrategias nacionales de seguridad digital. Están ahí 
para ser utilizadas y evitar la elaboración desde cero, pero con suficiente flexibilidad para 
ser adaptadas a los nnodelos de resigo de cada país o sector, y desarrollos nnás recientes 
conno el internet de las cosas. 
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